DDoS攻擊、CC攻擊的攻擊方式和防御方法

DDoS介紹

DDoS是英文Distributed Denial of Service的縮寫(xiě)，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶(hù)不能夠訪(fǎng)問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶(hù)對(duì)正常網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)，從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)從很多DOS攻擊源(俗稱(chēng)肉雞)猶如洪水般涌向受害主機(jī)，從而把合法用戶(hù)的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱(chēng)之為“洪水式攻擊”，常見(jiàn)的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

目前而言，黑客甚至對(duì)攻擊進(jìn)行明碼標(biāo)價(jià)，打1G的流量到一個(gè)網(wǎng)站一小時(shí)，只需50塊錢(qián)。DDoS的成本如此之低，而且攻擊了也沒(méi)人管。

關(guān)于DDos攻擊的常見(jiàn)方法

1. SYN Flood：利用TCP協(xié)議的原理，這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。TCP通道在建立以前，需要三次握手：
a. 客戶(hù)端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文， 同步報(bào)文指明客戶(hù)端所需要的端口號(hào)和TCP連接的初始序列號(hào)
b. 服務(wù)器收到SYN報(bào)文之后，返回一個(gè)SYN+ ACK報(bào)文，表示客戶(hù)端請(qǐng)求被接受，TCP初始序列號(hào)加1
c.客戶(hù)端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器，同樣TCP序列號(hào)加1
d. 如果服務(wù)器端沒(méi)有收到客戶(hù)端的確認(rèn)報(bào)文ACK，則處于等待狀態(tài)，將該客戶(hù)IP加入等待隊(duì)列，然后輪訓(xùn)發(fā)送SYN+ACK報(bào)文
所以攻擊者可以通過(guò)偽造大量的TCP握手請(qǐng)求，耗盡服務(wù)器端的資源。

2. HTTP Flood：針對(duì)系統(tǒng)的每個(gè)Web頁(yè)面，或者資源，或者Rest API，用大量肉雞，發(fā)送大量http request。這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢(xún)、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小博大的攻擊方法。缺點(diǎn)是對(duì)付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣。

3. 慢速攻擊：Http協(xié)議中規(guī)定，HttpRequest以\r\n\r\n結(jié)尾來(lái)表示客戶(hù)端發(fā)送結(jié)束。攻擊者打開(kāi)一個(gè)Http 1.1的連接，將Connection設(shè)置為Keep-Alive， 保持和服務(wù)器的TCP長(zhǎng)連接。然后始終不發(fā)送\r\n\r\n， 每隔幾分鐘寫(xiě)入一些無(wú)意義的數(shù)據(jù)流， 拖死機(jī)器。

4. P2P攻擊：每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個(gè)熱門(mén)事件，比如XX門(mén)， 精心制作一個(gè)種子， 里面包含正確的文件下載， 同時(shí)也包括攻擊目標(biāo)服務(wù)器的IP。這樣，當(dāng)很多人下載的時(shí)候， 會(huì)無(wú)意中發(fā)起對(duì)目標(biāo)服務(wù)器的TCP連接。

DDOS攻擊現(xiàn)象判定方法

1.SYN類(lèi)攻擊判斷：A.CPU占用很高；B.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)；C.網(wǎng)線(xiàn)插上后，服務(wù)器立即凝固無(wú)法操作，拔出后有時(shí)可以恢復(fù)，有時(shí)候需要重新啟動(dòng)機(jī)器才可恢復(fù)。
2.CC類(lèi)攻擊判斷：A.網(wǎng)站出現(xiàn)service unavailable提示；B.CPU占用率很高；C.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條；D.用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)站頁(yè)面或打開(kāi)過(guò)程非常緩慢,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無(wú)法訪(fǎng)問(wèn)。
3.UDP類(lèi)攻擊判斷：A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包；B.網(wǎng)絡(luò)狀態(tài)：netstat –na TCP信息正常。
4.TCP洪水攻擊判斷：A.CPU占用很高；B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條

DDoS攻擊防御方法：

1. 過(guò)濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來(lái)過(guò)濾不必要的服務(wù)和端口，即在路由器上過(guò)濾假I(mǎi)P。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較，并加以過(guò)濾。只開(kāi)放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開(kāi)放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
2. 異常流量的清洗過(guò)濾：通過(guò)DDOS硬件防火墻對(duì)異常流量的清洗過(guò)濾，通過(guò)數(shù)據(jù)包的規(guī)則過(guò)濾、數(shù)據(jù)流指紋檢測(cè)過(guò)濾、及數(shù)據(jù)包內(nèi)容定制過(guò)濾等頂尖技術(shù)能準(zhǔn)確判斷外來(lái)訪(fǎng)問(wèn)流量是否正常，進(jìn)一步將異常流量禁止過(guò)濾。單臺(tái)負(fù)載每秒可防御800-927萬(wàn)個(gè)syn攻擊包。
3. 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
4. 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對(duì)抗新興安全威脅的超級(jí)檢測(cè)功能。它顛覆了傳統(tǒng)一個(gè)域名對(duì)應(yīng)一個(gè)鏡像的做法，智能根據(jù)用戶(hù)的上網(wǎng)路線(xiàn)將DNS解析請(qǐng)求解析到用戶(hù)所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能DNS解析系統(tǒng)還有宕機(jī)檢測(cè)功能，隨時(shí)可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。

DDoS攻擊的網(wǎng)絡(luò)流量清洗

當(dāng)發(fā)生DDOS攻擊時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)會(huì)偵測(cè)到網(wǎng)絡(luò)流量的異常變化并發(fā)出報(bào)警。在系統(tǒng)自動(dòng)檢測(cè)或人工判斷之后，可以識(shí)別出被攻擊的虛擬機(jī)公網(wǎng)IP地址。這時(shí)，可調(diào)用系統(tǒng)的防DDOS攻擊功能接口，啟動(dòng)對(duì)相關(guān)被攻擊IP的流量清洗。流量清洗設(shè)備會(huì)立即接管對(duì)該IP地址的所有數(shù)據(jù)包，并將攻擊數(shù)據(jù)包清洗掉，僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡(luò)設(shè)備。這樣，就能保證整個(gè)網(wǎng)絡(luò)正常的流量通行，而將DDOS流量拒之門(mén)外。
采用云DDoS清洗方式，可以為企業(yè)用戶(hù)帶來(lái)諸多好處。其表現(xiàn)在不僅可以提升綜合防護(hù)能力，用戶(hù)能夠按需付費(fèi)，可彈性擴(kuò)展，而且還能夠基于大數(shù)據(jù)來(lái)分析預(yù)測(cè)攻擊，同時(shí)能夠免費(fèi)升級(jí)。對(duì)于企業(yè)用戶(hù)來(lái)說(shuō)，則可實(shí)現(xiàn)零運(yùn)維、零改造。

CC攻擊介紹

CC攻擊（Challenge Collapsar）是DDOS（分布式拒絕服務(wù)）的一種，前身名為Fatboy攻擊，也是一種常見(jiàn)的網(wǎng)站攻擊方法。攻擊者通過(guò)代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包，造成對(duì)方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。相比其它的DDOS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見(jiàn)不到真實(shí)源IP，見(jiàn)不到特別大的異常流量，但造成服務(wù)器無(wú)法進(jìn)行正常連接。最讓站長(zhǎng)們憂(yōu)慮的是這種攻擊技術(shù)含量低，利用更換IP代理工具和一些IP代理一個(gè)初、中級(jí)的電腦水平的用戶(hù)就能夠?qū)嵤┕簟?/p>

CC攻擊防御方法

1. 利用Session做訪(fǎng)問(wèn)計(jì)數(shù)器：利用Session針對(duì)每個(gè)IP做頁(yè)面訪(fǎng)問(wèn)計(jì)數(shù)器或文件下載計(jì)數(shù)器，防止用戶(hù)對(duì)某個(gè)頁(yè)面頻繁刷新導(dǎo)致數(shù)據(jù)庫(kù)頻繁讀取或頻繁下載某個(gè)文件而產(chǎn)生大額流量。（文件下載不要直接使用下載地址，才能在服務(wù)端代碼中做CC攻擊的過(guò)濾處理）
2. 把網(wǎng)站做成靜態(tài)頁(yè)面：大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門(mén)戶(hù)網(wǎng)站主要都是靜態(tài)頁(yè)面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器。
3. 增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒(méi)有開(kāi)啟而已，若開(kāi)啟的話(huà)可抵擋約10000個(gè)SYN攻擊包，若沒(méi)有開(kāi)啟則僅能抵御數(shù)百個(gè)，具體怎么開(kāi)啟，自己去看微軟的文章吧！《強(qiáng)化 TCP/IP 堆棧安全》。也許有的人會(huì)問(wèn)，那我用的是Linux和FreeBSD怎么辦？很簡(jiǎn)單，按照這篇文章去做吧！《SYN Cookies》。
4. 在存在多站的服務(wù)器上，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間，這是一個(gè)很有效的方法。CC的防御要從代碼做起，其實(shí)一個(gè)好的頁(yè)面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口，大家都應(yīng)該在代碼中注意。舉個(gè)例子吧，某服務(wù)器，開(kāi)動(dòng)了5000線(xiàn)的CC攻擊，沒(méi)有一點(diǎn)反應(yīng)，因?yàn)樗械脑L(fǎng)問(wèn)數(shù)據(jù)庫(kù)請(qǐng)求都必須一個(gè)隨機(jī)參數(shù)在Session里面，全是靜態(tài)頁(yè)面，沒(méi)有效果。突然發(fā)現(xiàn)它有一個(gè)請(qǐng)求會(huì)和外面的服務(wù)器聯(lián)系獲得，需要較長(zhǎng)的時(shí)間，而且沒(méi)有什么認(rèn)證，開(kāi)800線(xiàn)攻擊，服務(wù)器馬上滿(mǎn)負(fù)荷了。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤，可能帶來(lái)的是整個(gè)站的影響，甚至是整個(gè)服務(wù)器的影響!
5. 服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂(lè)、安全寶等)，如果資金充裕的話(huà)，可以購(gòu)買(mǎi)高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來(lái)解析。
另外，防止服務(wù)器對(duì)外傳送信息泄漏IP地址，最常見(jiàn)的情況是，服務(wù)器不要使用發(fā)送郵件功能，因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件，可以通過(guò)第三方代理(例如sendcloud)發(fā)送，這樣對(duì)外顯示的IP是代理的IP地址。
總之，只要服務(wù)器的真實(shí)IP不泄露，10G以下小流量DDOS的預(yù)防花不了多少錢(qián)，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過(guò)20G，那么免費(fèi)的CDN可能就頂不住了，需要購(gòu)買(mǎi)一個(gè)高防的盾機(jī)來(lái)應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏

WAF介紹

WAF（Web Application Firewall）的中文名稱(chēng)叫做“Web應(yīng)用防火墻”，利用國(guó)際上公認(rèn)的一種說(shuō)法，WAF的定義是這樣的：Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。通過(guò)從上面對(duì)WAF的定義中，我們可以很清晰的了解到，WAF是一種工作在應(yīng)用層的、通過(guò)特定的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供安全防護(hù)的產(chǎn)品。

根據(jù)不同的分類(lèi)方法，WAF可分為許多種。從產(chǎn)品形態(tài)上來(lái)劃分，WAF主要分為以下三大類(lèi)：

1.硬件設(shè)備類(lèi)：目前安全市場(chǎng)上，大多數(shù)的WAF都屬于此類(lèi)。它們以一個(gè)獨(dú)立的硬件設(shè)備的形態(tài)存在，支持以多種方式（如透明橋接模式、旁路模式、反向代理等）部署到網(wǎng)絡(luò)中為后端的Web應(yīng)用提供安全防護(hù)。相對(duì)于軟件產(chǎn)品類(lèi)的WAF，這類(lèi)產(chǎn)品的優(yōu)點(diǎn)是性能好、功能全面、支持多種模式部署等，但它的價(jià)格通常比較貴。國(guó)內(nèi)的綠盟、安恒、啟明星辰等廠(chǎng)商生產(chǎn)的WAF都屬于此類(lèi)。
2.軟件產(chǎn)品類(lèi)：這種類(lèi)型的WAF采用純軟件的方式實(shí)現(xiàn)，特點(diǎn)是安裝簡(jiǎn)單，容易使用，成本低。但它的缺點(diǎn)也是顯而易見(jiàn)的，因?yàn)樗仨毎惭b在Web應(yīng)用服務(wù)器上，除了性能受到限制外，還可能會(huì)存在兼容性、安全等問(wèn)題。這類(lèi)WAF的代表有ModSecurity、Naxsi、網(wǎng)站安全狗等。
3.基于云的WAF：隨著云計(jì)算技術(shù)的快速發(fā)展，使得其于云的WAF實(shí)現(xiàn)成為可能。國(guó)內(nèi)創(chuàng)新工場(chǎng)旗下的安全寶、360的網(wǎng)站寶是這類(lèi)WAF的典型代表。它的優(yōu)點(diǎn)是快速部署、零維護(hù)、成本低。對(duì)于中、小型的企業(yè)和個(gè)人站長(zhǎng)是很有吸引力的。

DDoS攻擊測(cè)試工具

1. 盧瓦(LOIC) (Low Orbit Ion Canon)：LOTC是一個(gè)最受歡迎的DOS攻擊工具。 這個(gè)工具被去年流行的黑客集團(tuán)匿名者用于對(duì)許多大公司的網(wǎng)絡(luò)攻擊。它可以通過(guò)使用單個(gè)用戶(hù)執(zhí)行DOS攻擊小型服務(wù)器，工具非常易于使用，即便你是一個(gè)初學(xué)者。 這個(gè)工具執(zhí)行DOS攻擊通過(guò)發(fā)送UDP,TCP或HTTP請(qǐng)求到受害者服務(wù)器。 你只需要知道服務(wù)器的IP地址或URL，其他的就交給這個(gè)工具吧。
2. XOIC：XOIC是另一個(gè)不錯(cuò)的DOS攻擊工具。它根據(jù)用戶(hù)選擇的端口與協(xié)議執(zhí)行DOS攻擊任何服務(wù)器。XOIC開(kāi)發(fā)者還聲稱(chēng)XOIC比上面的LOIC在很多方面更強(qiáng)大呢。
3. R-U-Dead-Yet：R-U-Dead-Yet是一個(gè)HTTP post DOS攻擊工具。它執(zhí)行一個(gè)DOS攻擊長(zhǎng)表單字段，通過(guò)POST方法提交。這個(gè)工具提供了一個(gè)交互式控制臺(tái)菜單，檢測(cè)給定的URL,并允許用戶(hù)選擇哪些表格和字段應(yīng)用于POST-based DOS攻擊。
4. OWASP DOS HTTP POST：這是另外一個(gè)很好的工具。您可以使用這個(gè)工具來(lái)檢查您的web服務(wù)器能否夠捍衛(wèi)得住別人的DOS攻擊。當(dāng)然，不僅對(duì)防御，它也可以用來(lái)執(zhí)行DOS攻擊哦。
5. DAVOSET：DAVOSET是另一個(gè)很好的執(zhí)行DDOS攻擊工具。 最新版本的工具新增支持cookie以及許多其他功能。

文章參考：

http://www.admin5.com/article/20081102/112695.shtml
https://baike.so.com/doc/6742131-6956653.html
http://secsky.sinaapp.com/216.html
https://baike.so.com/doc/5339607-5575049.html
http://netsecurity.51cto.com/art/201406/442756.htm
http://netsecurity.51cto.com/art/201403/431623.htm
http://netsecurity.51cto.com/art/201407/444154.htm
http://netsecurity.51cto.com/art/201406/441851.htm
http://netsecurity.51cto.com/art/201406/441937.htm
http://netsecurity.51cto.com/art/201403/432081.htm
http://netsecurity.51cto.com/art/201310/413127.htm
http://netsecurity.51cto.com/art/201305/395144.htm
http://netsecurity.51cto.com/art/201211/364772.htm